Iniciante Redes Atualizado em 25 de jun. de 2025

Firewall, IDS e IPS — diferenças, regras e limitações

Firewall, IDS e IPS são camadas complementares de defesa de rede. Cada um tem um propósito diferente — usá-los juntos aumenta a profundidade da segurança.

Firewall — controlar o tráfego

Um firewall decide o que entra e sai da rede com base em regras. Pode operar por pacote (stateless) ou por conexão (stateful).

Stateless: analisa cada pacote isoladamente (origem, destino, porta)
Stateful:  rastreia o estado da conexão TCP — sabe se o pacote faz parte de uma sessão legítima

Exemplo de regras (iptables — Linux)

# Permitir SSH de IP específico
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.10 -j ACCEPT

# Bloquear todo o resto na porta 22
iptables -A INPUT -p tcp --dport 22 -j DROP

# Permitir tráfego de saída estabelecido
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Política padrão: bloquear tudo que não foi explicitamente permitido
iptables -P INPUT DROP
iptables -P FORWARD DROP

Limitações do firewall

Não inspeciona conteúdo de pacotes criptografados sem SSL inspection
Não detecta ataques dentro de tráfego permitido (ex: SQLi via porta 80)
Regras mal configuradas criam brechas silenciosas

IDS — Intrusion Detection System

O IDS monitora o tráfego e alerta quando detecta padrões suspeitos. Não bloqueia — apenas observa e reporta.

Modo passivo: recebe cópia do tráfego (SPAN/mirror port no switch)
Analisa contra assinaturas ou comportamento baseline
Gera alerta → equipe de segurança investiga

Exemplos de alertas IDS:

Scan de portas detectado (ex: nmap -sS)
Tentativa de exploit conhecido (CVE assinado)
Tráfego para domínio de C2 (Command & Control) conhecido

Ferramenta popular: Snort e Suricata (open source).

IPS — Intrusion Prevention System

O IPS é um IDS que age — ele bloqueia o tráfego suspeito em tempo real, estando em linha na rede.

Tráfego → [IPS] → Rede interna
              ↓
         Tráfego suspeito: bloqueado e logado

Risco do IPS: falsos positivos bloqueiam tráfego legítimo. Ajuste de assinaturas é necessário.

Comparativo

Ferramenta  | Monitora | Bloqueia | Posição na rede
------------|----------|----------|----------------
Firewall    | Sim      | Sim      | Borda / segmento
IDS         | Sim      | Não      | Passiva (SPAN)
IPS         | Sim      | Sim      | Inline (em linha)

Next-Generation Firewall (NGFW)

Combina firewall stateful + IPS + inspeção de aplicação (camada 7) + SSL inspection:

Identifica o aplicativo (não só a porta): bloqueia BitTorrent mesmo na porta 80
Inspeciona TLS: descriptografa, analisa, re-criptografa
Controle por usuário/grupo (integração com Active Directory)

Onde cada ferramenta falha

Ferramenta	Limitação principal
Firewall	Não vê ataques em tráfego permitido
IDS	Gera alertas, mas não age — depende de humano
IPS	Falso positivo bloqueia serviço legítimo
NGFW	SSL inspection exige confiança no certificado

Segurança em profundidade: combine todas as camadas.